על מידע וביטוחי CYBER LIABILITY, מאת עו"ד עודד סלע

פורסם: 31/7/2012

פורסם בקפה דהמרקר ביום 4.8.2010 http://cafe.themarker.com/post/1706636/

עסקים שונים, החל ממשרד של בעל מקצוע חופשי בודד כגון פסיכולוג, רופא, סוכן ביטוח או עו"ד ועד חברות Fortune 100, מסתמכים על טכנולוגיות מידע.

למעשה כל עסק מודרני – חי ונושם מכוח אפליקציות טכנולוגיות המידע, מאגרי הנתונים ומערכות המחשב שלו. נפילה קצרת טווח וקל וחומר ארוכת טווח של מערך טכנולוגיות המידע בעסק, עלולה לגרום לחריקות ובמקרים מסוימים לנזקים כבדים בתעבורה, בהכנסות ובחשיפה לתביעות פוטנציאליות מצד גורמים שונים.

על פניו, נראה סביר מאוד להניח כי ביטוחי סייבר (מחשבים ואינטרנט על נגזרותיהם השונות) עשויים להצטרף בעתיד הקרוב לביטוחים נפוצים ששום עסק שמתיימר לכבד את עצמו לא מתחיל לפעול בלעדיהם, כגון ביטוח חבות מעבידים, ביטוח חבות כלפי צד ג', ביטוח רכוש כנגד נזקי אש או מים, וכי בלבה של חבילת ביטוח הרכוש והחבות, כלומר, ביטוח העסק יכלל גם ביטוח סייבר.

לעסקים כמו אתרי מכירה און-ליין, ברוקרים וחלק מהחברות הפיננסיות, נכסי טכנולוגיות המידע הם למעשה העסק כולו – קריטיים כמו המפעל והמחסן ליצרן סחורות או צי הרכבים לחברת ליסינג או לחברת הובלת סחורות במשאיות.

תארו לעצמכם עסקים כמו amazon.com, e Bay, סוכנויות נסיעות, חברות אפליקציות סלולאריות או להבדיל - כל רשות מקומית, בנק, בית השקעות או חברת ביטוח וכמעט כל משרד ממשלתי, מנסים לנהל את עסקיהם או פעילותם בלי מערכות המידע והמחשבים שלהם.

כפי שיותר ויותר חברות – ומבטחיהן – מבינות, ההסתמכות על טכנולוגיות מידע כמו גם ההסתמכות על האינטרנט כצינור לתקשורת והעברת מידע בין עסקים, אל ומהלקוחות וצדדים נוספים, יוצר "קן צרעות" של סיכונים שעלולים להביא להפסדים עצומים, אשר ביטוחי רכוש וחבות רגילים מתחילת המאה אינם מכסים. נושאים חדשים אלה מחייבים קטגוריה חדשה של כיסוי.

הסיכונים החדשים

מצד אחד, קיים הנושא של הפסדי צד-ראשון. נזקים אלה אלה עשויים לכלול הפסקת פעילות העסק, אשר עלולה להיגרם כתוצאה משריפה במרכז המידע, או פריצה למחשבים על ידי עובד ממורמר, או אפילו כתוצאה של פעילות פושעי אינטרנט מן הצד השני של העולם (או אפילו ממקומות לא מרוחקים – ראו למשל את ההתקפה של האקרים תורכיים על אתרים ישראליים רק לפני שבועות ספורים).

ביטוחי רכוש וחבות מסורתיים עשויים לעזור בהחלפת חלק מהחומרה או לפצות על נזקים פיזיים למאגר המידע. יחד עם זאת, אין כל כיסוי לעלויות המכבידות של שיחזור מידע, התקנה מחדש של תוכנות או להפסד תשואות, שכן חבילות ביטוחי הרכוש והחבות באופן טיפוסי מחריגות הפסדים מסוג זה לחלוטין.

משמעות הדבר, שחברה יכולה להיות מושבתת במשך ימים או שבועות, ובו בזמן לשאת בהפסדים ולהיות אחראית להשבת יכולת הפעולה של מערכות המידע שנפגעו.

על פניו, קיימת סכנה גדולה אף יותר בחשיפות החדשות המתלוות באופן אינהרנטי לפעולות הקשורות בטכנולוגיות מידע. שורה של תקנות חדשות יחסית הופכות חברות לאחראיות לבטיחות מידע אישי וחסוי שנאסף כחלק מהמסחר און-ליין היומיומי בו הן עוסקות.

לתאגידים, יש אחריות למידע שהן אוגרות כגון למספרי כרטיסי האשראי של הלקוחות, להעברות כספיות, להיסטוריה רפואית, למידע על אשראי ולמידע רגיש אחר.

הרגולציה בנושא, למשל בארה"ב, הולכת ומתפתחת בשנים האחרונות ונעה החל מ-HIPAA (ר"ת) מ-1996, חוק העוסק בשמירה על מידע רפואי, ועד מגוון של חוקים מדינתיים הקובעים קנסות נוקשים וגבוהים לחברות שאינן מטפלות כהלכה במידע, מאפשרות דליפת מידע או כניסה של אנשים שאינם מורשים, או פשוט לא מצליחות לשמור באופן בטוח על מידע רגיש, קנסות אשר אינם מכוסים על ידי ביטוח קונבנציונלי. בישראל, ניתן לראות התפתחות מהותית בחקיקה בתחום טכנולוגיית המידע שומירת המידע, החל מתיקונים בחוק הגנת הפרטיות, עבור בחוק החתימה האלקטרונית וחוק נתוני אשראי והמשך בשורה של תזכירי חוק חדשניים וניירות עמדה מאת הרשות למשפט וטכנולוגיה במשרד המשפטים שהוקמה בשנת 2006.

סיכון נוסף שקיים הוא סיכון התביעה על ידי צדדים שלישיים על כך שהעסק איפשר, או לא מנע – גישה בלתי מורשית למידע רגיש.

דוגמה לכך היא האקר החודר מרחוק לאתר של רשת חנויות און-ליין וגונב מאות ואלפי מספרי כרטיסי אשראי של לקוחות או פרטים אישיים אחרים כגון סיסמאות כניסה לאתרים, חשבונות בנק וכיוב'. אתר האינטרנט חשוף כעת בפני תביעות מלקוחות זועמים בנוגע לחיובים בלתי מורשים שנעשו בכרטיסי האשראי שלהם בעקבות גניבת זהות או פרטים אישיים של הלקוחות, כמו גם תביעות מבנקים שהוציאו את כרטיסי האשראי עבור הוצאות שהוצאו במסגרת ביטול הכרטיסים והוצאת חדשים במקומם (מדובר באירועים שהתרחשו בפועל ולא בתיאור דמיוני). ביטוח מסורתי פשוט לא יפעל כאן.

המציאות החדשה היא שפושעים וטרוריסטים וסתם נוכלים מתחילים להבין שעקב אכילס האמיתי בחברות ובארגונים של היום הוא הצד של טכנולוגיות מידע של עסקים. סודות, מידע רגיש ומידע פנים הפכו כעת למטרתם העיקרית.

אסון התאומים כמו גם אירועים נוספים ופחות דרמטיים, הביאו בין היתר להבנה של ממשלות כי סיכונים טכנולוגיים בכלל וסיכוני טכנולוגיית מידע בפרט עלולים להיות בעלי השלכות חמורות לעיתים לא פחות מאיומים קונבנציונאליים.

נסו למשל לדמיין מה עלול לקרות אם עקב פרצת אבטחה, יכנסו האקרים למערך שיגור הטילים הבליסטיים של אחת המעצמות (וזה לפחות ככל הידוע לכותב שורות אלה, בבחינת אירוע בדיוני בלבד).

אפשרויות הביטוח

מאחר וביטוח הרכוש והחבות הנפוץ אינו כולל ברגיל, כיוסי להפסדים הקשורים לפרטיות ולטכנולוגיות מידע – אשר למעשה מוחרגים באופן ספציפי ברוב הצעות הביטוח הנ"ל – מבטחים מומחים וחברות ביטוח גדולות מציעים כעת מגוון די רחב של מוצרי סייבר המיועדים למלא את הפערים הקריטיים הנ"ל. הההיצע רב וכולל סוגים שונים של ביטוחים ומגיע מסינדיקטים של ללוידס כמו גם מחברות ביטוח אירופאיות, אמריקאיות וישראליות, ומוצע באמצעות הברוקרים וסוכני הביטוח המובילים.

מוצרי ה"סייבר" הכוללים פוליסות "אחריות סודיות ופרטיות ברשת" ופוליסות אחריות מקצועית שונות, נוטים להיות שונים בצורה משמעותית בין מבטח למבטח, כאשר שוק הביטוח מנסה להבחין אילו תנאים והתניות הם האטרקטיביים ביותר עבור חברות בדרגות שונות של סיכון (בהתחשב בעיקר בתחומי השירות/פעילות והיקפן).

אף כי פוליסות בתחומים אלה היו קיימות כבר מראשית שנות ה-90 בשמות שונים כגון ביטוחי EDP, ביטוחים משולבים לתעשיית היי-טק שכללו בין היתר כיסויים של חבות מוצר משולבים באחריות מקצועית ואחרים, מדובר בסופו של דבר בתחום ייחסית בתולי, אך מתפתח מאוד, לצד ההתפתחות המתאורית בשימוש באינטרנט ככלי להעברת, אחסון ואחזור מידע, הגידול התדיר במסחר אלקטרוני B2B ו B2C וזאת לצד המודעות ההולכת וגוברת של הציבור לנושאים אלה ולחקיקה המתפתחת בתחומי ה IT, הקניין הרוחני והגנת הפרטיות.

פוליסות אחריות סודיות ופרטיות ברשת מתייחסות בדרך כלל לסיכוני אחריות צד ראשון וצד שלישי – לעיתים באותה פוליסה ולעיתים בנפרד.

כיסוי צד ראשון יכלול בד"כ:

  • הפרעה למהלך התקין של העסק.
  • שיחזור מידע.
  • תשלומי סחיטה באמצעות האינטרנט.
  • הוצאות ניהול משברים.
  • קניין רוחני.
  • פעולות רגולטוריות.
  • הוצאות הודעה לצדדים מושפעים.
  • הוצאות פיקוח על אשראי.
  • הוצאות הנדקשות לקביעת איך נגרמה הפריצה.
  • פגיעה על ידי וירוס/תולעת.
  • פגיעה או נזק לרשת של העסק או גניבה באמצעות האינטרנט.


כיסוי צד שלישי בד"כ כולל אחריות הנובעת מבטיחות רשת ומידע, פרטיות ומדיה אלקטרונית.

תלוי באופייה של החברה ומבנה מערכת המידע שלה, מבוטחים יכולים לנהל מו"מ לגבי מספר הרחבות של הכיסוי בנוגע למצבים שאינם מכוסים בפוליסה הבסיסית כמו גם לניסוחים שונים בתנאים הכלליים של הפוליסות.

כיסוי יכול להיות מורחב לנזקים כתוצאה אי יושר עובדים, פעילות של עובדים, קבלנים ועובדי חוץ מורשים, וכאלה הפועלים באופן בלתי מורשה.

הכיסוי יכול להיות מורחב גם למידע אוף-ליין ומידע שאינו אלקטרוני הכוללים מידע פרטי או רגיש אשר נפרץ או שוחרר בדרך כלשהי.

הוצאות צד ראשון יכולות לכלול גם הוצאות עבור תיקון הרשת לאחר פריצה, חקירת הפריצה, הוצאות עקיפות או שירותים קצרי טווח שנועדו לאפשר חזרה לתפקוד של החברה.
הוצאות הגנה, קנסות ועונשים אזרחיים הנובעים מפעולות רגולטוריות, כמו גם סכומים שחייבים להיות מופקדים לקרנות פיצויים או פשרה ובלבד שהללו מותרים בכיסוי על פי דין (ישנן מדינות המחריגות אפשרויות אלו בחקיקה).

חיתום סייבר

באופן חלקי, תודות לשוק "רך" ייחסית עד היום, הנפח של כיסוי סייבר מצוי בשפע בשלב זה; יחד עם זאת, סקטור אחד שעומד בפני חיתום מדוקדק הרבה יותר הוא הסקטור של מוסדות פיננסיים.

בנוסף להערכה של הדברים הבסיסיים כגון תשואות ועמלות, מספר עובדים וטבעו של העסק, חתמים לוקחים בחשבון את מבנה האבטחה הטכנית שיש לחברה, את מדיניות הפרטיות והבטיחות הכוללת שלה – ולעיתים את המלצותיהם של יועצים חיצוניים או מבקר בטיחות.

חתמים עשויים גם לדרוש שידרוגים מסוימים בהליכים או בטכנולוגיה כתנאי לביטוח.

כאשר בוחרים כיסוי ביטוחי לעסק, סוכנים ומבוטחים צריכים להתחיל עם הערכה יסודית של סיכונים פוטנציאליים ונקודות פגיעות במערכות הקיימות, ייתכן גם עם עזרה של מומחה בטיחות, ורק אז לבחור את הכיסוי הביטוחי המתאים.

ביטוח אחריות סודיות ופרטיות ברשת הוא רק מרכיב חשוב אחד של אסטרטגיית ניהול סיכונים בסביבה העסקית העכשווית. ככל שעסקים מסתמכים יותר על טכנולוגיות מידע כמנוע צמיחה או פשוט כלב של פעולותיהם והתקשרויותיהם, כך עולה החשיבות של הגנת נכסי טכנולוגיות המידע באמצעות הכיסוי הביטוחי המתאים.

העיסוק בביטוחי סייבר הוא נושא מורכב, מעניין ורלבנטי לכל עסק העושה שימוש במערכות IT וכן לכל מי שעוסק בניהול סיכונים תפעולי. בחירת הפוליסות המתאימות לצרכים של כל ארגון וארגון, מחייבת הכרה מוקדמת עם הטרמינולוגיות הביטוחיות/משפטיות/מקצועיות המתאימות והכרות עם מגוון המוצרים הקיימים בתחום ומתעדכנות חדשות לבקרים.

דף הבית | גירושין